Dostęp gościnny (guest access) w Microsoft 365 umożliwia bezpieczną współpracę z osobami spoza organizacji — kontrahentami, klientami, dostawcami — bez konieczności tworzenia dla nich pełnych kont pracowniczych. Konfiguracja odbywa się w portalu entra.microsoft.com (Microsoft Entra ID) oraz w centrum administracyjnym Microsoft 365 i obejmuje ustawienia na poziomie organizacji, grup, SharePoint i Microsoft Teams.
Szybki dostęp
Cel Adres / lokalizacja Centrum administracyjne Microsoft Entra ID entra.microsoft.com Centrum administracyjne Microsoft 365 admin.microsoft.com Ustawienia współpracy zewnętrznej (Entra ID) Identity → External Identities → External collaboration settings Ustawienia dostępu między dzierżawami (cross-tenant) Identity → External Identities → Cross-tenant access settings Microsoft 365 Groups — guest access admin.microsoft.com → Settings → Org settings → Microsoft 365 Groups SharePoint — udostępnianie zewnętrzne admin.microsoft.com → SharePoint → Policies → Sharing Teams — guest access Teams admin center → Users → Guest access Samoobsługowy reset hasła dla gości passwordreset.microsoftonline.com
W skrócie
- Co to jest: mechanizm Microsoft Entra B2B collaboration, który tworzy obiekt użytkownika typu
Guestw katalogu organizacji i pozwala zewnętrznym osobom logować się własnymi danymi uwierzytelniającymi (konto Microsoft, Google, firmowe Entra ID). - Gdzie się konfiguruje: trzy główne miejsca — Entra ID (collaboration settings, cross-tenant access), Microsoft 365 admin center (grupy), SharePoint i Teams admin center (udostępnianie).
- Czy jest domyślnie włączone: tak, guest access dla Microsoft 365 Groups jest domyślnie włączony. SharePoint i Teams również mają domyślnie otwarte udostępnianie zewnętrzne — zaleca się przegląd tych ustawień przed rozpoczęciem produkcyjnego użytkowania.
- Koszty: sam dostęp gościnny nie wymaga dodatkowych licencji Microsoft 365. Rozliczanie Microsoft Entra External ID odbywa się w modelu MAU (monthly active users) z darmowym limitem bazowym. Płatne funkcje premium (Conditional Access dla gości, Identity Protection) wymagają licencji Entra ID P1/P2.
Jak działa guest access w Microsoft 365 — mechanizm B2B collaboration
Microsoft 365 wykorzystuje do obsługi gości mechanizm Microsoft Entra B2B collaboration (dawniej Azure AD B2B). Gdy zapraszasz osobę zewnętrzną — np. przez dodanie jej do zespołu w Teams, grupy Microsoft 365 lub przez udostępnienie pliku w SharePoint — system tworzy w Twoim katalogu Entra ID obiekt użytkownika z właściwością UserType = Guest. Jego nazwa UPN zawiera sufiks #EXT#, np. jan.kowalski_gmail.com#EXT#@twojafirma.onmicrosoft.com.
Gość nie otrzymuje nowego hasła w Twojej organizacji — loguje się własnymi danymi uwierzytelniającymi:
- kontem Microsoft (Outlook, Hotmail, Live),
- kontem Google (Gmail),
- kontem służbowym z innej organizacji korzystającej z Microsoft Entra ID (federacja),
- jednorazowym kodem e-mail (email one-time passcode, OTP) — to ustawienie jest domyślnie włączone dla wszystkich nowych dzierżaw od 2025 roku.
Od lipca 2025 roku Microsoft zmienił sposób logowania gości — po wpisaniu adresu e-mail gość jest automatycznie przekierowywany na stronę logowania swojej własnej organizacji (home tenant). Widzi branding i adres URL swojego dostawcy tożsamości, a po pomyślnym uwierzytelnieniu wraca do zasobów Twojej organizacji. To zwiększa bezpieczeństwo i eliminuje ryzyko phishingu na fałszywych stronach logowania Microsoft.
Konfiguracja guest access — krok po kroku
1. Ustawienia współpracy zewnętrznej w Microsoft Entra ID
To fundamentalny poziom kontroli. Przejdź do entra.microsoft.com → Identity → External Identities → External collaboration settings.
| Ustawienie | Opis | Zalecana wartość |
|---|---|---|
| Guest user access restrictions | Określa, czy goście widzą dane katalogu (listę użytkowników, grup) | Guest users have limited access to directory objects |
| Guest invite restrictions | Kto może zapraszać gości | Member users and users assigned to specific admin roles (domyślnie) lub Only users assigned to specific admin roles dla restrykcyjnych środowisk |
| Collaboration restrictions | Pozwala/blokuje domeny | Allow invitations only to specified domains — jeśli współpracujesz tylko z konkretnymi partnerami |
| Email one-time passcode for guests | Jednorazowy kod e-mail jako fallback | Włączone (domyślnie) |
2. Cross-tenant access settings (dla organizacji z Entra ID)
Jeśli współpracujesz z firmami, które również używają Microsoft 365, skonfiguruj ustawienia cross-tenant. Znajdziesz je w Entra ID → External Identities → Cross-tenant access settings.
Dla każdej partnerskiej organizacji możesz zdefiniować:
- Inbound access — co goście z tamtej organizacji mogą robić w Twojej (dostęp do aplikacji, grup, uwierzytelnianie),
- Outbound access — co Twoi użytkownicy mogą robić w tamtej organizacji,
- Trust settings — czy ufasz MFA i zgodności urządzeń (compliant/hybrid-joined) z tamtej organizacji.
Ustawienia cross-tenant pozwalają też na B2B direct connect — który umożliwia dostęp do shared channels w Teams bez tworzenia obiektu Guest w katalogu.
3. Microsoft 365 Groups — dostęp gościnny
Przejdź do admin.microsoft.com → Settings → Org settings → Microsoft 365 Groups. Upewnij się, że:
- Let group owners add people outside your organization — włączone (jeśli chcesz pozwolić właścicielom grup zapraszać gości),
- Let people outside your organization access group resources — włączone.
Te ustawienia dotyczą wszystkich grup Microsoft 365, w tym tych połączonych z Teams i SharePoint.
4. SharePoint i OneDrive — udostępnianie zewnętrzne
W centrum administracyjnym SharePoint: Policies → Sharing. Dostępne poziomy:
| Poziom | Co umożliwia |
|---|---|
Anyone | Udostępnianie przez linki "każdy z linkiem" (bez uwierzytelniania) — najmniej bezpieczne |
New and existing guests | Udostępnianie gościom, którzy muszą się zalogować (standard B2B) |
Existing guests | Tylko goście już obecni w katalogu |
Only people in your organization | Całkowicie wyłączone udostępnianie zewnętrzne |
Zasada: jeśli ustawienie na poziomie organizacji jest bardziej restrykcyjne niż dla konkretnej witryny (site), zawsze wygrywa to bardziej restrykcyjne.
5. Microsoft Teams — dostęp gościnny
Teams admin center → Users → Guest access. Kluczowe przełączniki:
- Allow guest access in Teams — włącz/wyłącz globalnie,
- Private calling — czy goście mogą dzwonić prywatnie,
- Meeting — czy goście mogą korzystać z trybu Together Mode,
- Messaging — czy goście mogą usuwać/edytować wiadomości, używać Giphy.
Goście w Teams mają wyraźnie oznaczone (Guest) przy nazwie. Ich uprawnienia są ograniczone w porównaniu z członkami zespołu — np. nie mogą tworzyć nowych kanałów, usuwać zespołu ani przeglądać org chart.
Shared channels to nowsza alternatywa dla guest access — umożliwiają zapraszanie osób z zewnątrz do konkretnego kanału bez tworzenia konta gościa w katalogu, przez B2B direct connect. Wybierz shared channels, jeśli potrzebujesz dostępu tylko do jednego kanału; wybierz guest access, jeśli gość ma uczestniczyć w całym zespole.
Typowe problemy z konfiguracją guest access
Gość nie może dołączyć do zespołu — komunikat "Contact your admin"
Najczęstsza przyczyna: jedno z wymaganych ustawień na ścieżce Entra ID → Microsoft 365 Groups → SharePoint → Teams jest wyłączone. Guest access w Teams wymaga, aby wszystkie cztery warstwy były poprawnie skonfigurowane:
- Entra ID — external collaboration settings zezwalają na zaproszenia.
- Microsoft 365 Groups — guest access włączony.
- SharePoint — udostępnianie zewnętrzne na poziomie
New and existing guestslub wyższym. - Teams admin center —
Allow guest access in Teamswłączone.
Microsoft udostępnia narzędzie diagnostyczne w admin center (przycisk "Run Tests: Teams Guest Access"), które automatycznie sprawdza wszystkie cztery warstwy.
Gość dostał zaproszenie, ale nie może się zalogować — "konto nie istnieje"
To klasyczny problem z podwójną tożsamością — adres e-mail gościa istnieje zarówno jako konto Microsoft (osobiste), jak i konto Entra ID w innej organizacji. Rozwiązanie:
- Gość powinien podczas logowania wyraźnie wybrać typ konta (osobiste vs. służbowe) — Microsoft wyświetli selektor, jeśli wykryje oba typy,
- Jeśli problem się powtarza: administrator po stronie gościa powinien sprawdzić, czy w ich dzierżawie nie ma blokady cross-tenant access (Entra ID → External Identities → Cross-tenant access settings → domyślne ustawienia inbound).
Goście widzą za dużo danych w katalogu
Domyślnie goście mają ograniczony dostęp do obiektów katalogu (nie widzą listy wszystkich użytkowników). Jeśli jednak zmieniono to na Guest users have the same access as members, każdy gość może przeglądać pełną listę pracowników, grup i aplikacji. Sprawdź w Entra ID → External collaboration settings → Guest user access restrictions i ustaw na Guest users have limited access to directory objects.
Zaproszenia utworzone przed czerwcem 2024 przez SharePoint Invitation Manager nie działają
Od czerwca 2024 roku Microsoft wycofał stary mechanizm SharePoint Invitation Manager. Zaproszenia wysłane przed tą datą przez ten mechanizm wygasły. Użytkownicy, którzy udostępnili pliki w ten sposób, muszą ponownie udostępnić dokumenty — nowe zaproszenia zostaną wygenerowane już przez Microsoft Entra B2B.
Zarządzanie gośćmi — usuwanie, audyt i przeglądy dostępu
Usuwanie gościa
Gdy współpraca z gościem dobiega końca:
- Przejdź do admin.microsoft.com → Users → Guest users.
- Wybierz gościa i kliknij Delete a user.
Alternatywnie, możesz usunąć gościa przez Microsoft Entra admin center → Users → wybierz użytkownika → Delete. Usunięcie gościa z katalogu automatycznie odbiera mu dostęp do wszystkich zasobów organizacji (Teams, grupy, SharePoint, aplikacje).
Audyt i śledzenie
Każde dodanie gościa do zespołu w Teams jest rejestrowane w dzienniku audytu Microsoft 365 jako operacja Added member to group. Możesz przeszukiwać dziennik audytu w Microsoft 365 Defender (security.microsoft.com) lub przez Microsoft Purview compliance portal.
Access reviews — automatyczne przeglądy gości
Microsoft Entra ID umożliwia tworzenie cyklicznych przeglądów dostępu (access reviews) dla gości. Administrator lub właściciel grupy otrzymuje okresowe zadanie: "Czy ten gość nadal potrzebuje dostępu?". Możesz skonfigurować automatyczne usuwanie dostępu po określonym czasie bezczynności konta gościa. Funkcja dostępna w Entra ID → Identity Governance → Access Reviews.
MFA i Conditional Access dla gości
Microsoft od 2025 roku coraz silniej egzekwuje MFA — dotyczy to również użytkowników gościnnych. Kluczowe zasady:
- Organizacja-gospodarz może wymusić MFA dla gości przez Conditional Access policy. Wymaga to licencji Microsoft Entra ID P1 (wliczonej np. w Microsoft 365 Business Premium).
- Jeśli organizacja-gościa ma własne MFA, możesz zaufać ich MFA przez cross-tenant access settings → Trust settings →
Trust MFA from Microsoft Entra tenants. - Dla gości bez Entra ID (Gmail, Outlook osobiste) — jedyną opcją jest kod OTP e-mail lub skonfigurowanie własnego MFA Microsoft Authenticator przez gościa.
Częste pytania
Czy guest access w Microsoft 365 jest płatny?
Nie za sam dostęp. Microsoft Entra External ID działa w modelu MAU (monthly active users) — pierwsze 50 000 MAU miesięcznie w warstwie podstawowej jest bezpłatne. Płacisz tylko, jeśli przekroczysz ten limit lub chcesz używać funkcji premium (Conditional Access dla gości, Identity Protection) — te wymagają licencji Microsoft Entra ID P1/P2. Samo konto gościa nie potrzebuje licencji Microsoft 365 — gość korzysta z Twoich zasobów w ramach Twojej subskrypcji.
Czy gość potrzebuje własnej licencji Microsoft 365?
Nie. Gość nie potrzebuje żadnej licencji Microsoft 365 — działa w ramach subskrypcji organizacji-gospodarza. Jeśli jednak gość ma wykonywać zaawansowane operacje (np. tworzyć przepływy Power Automate, używać Power BI, instalować desktopowe aplikacje Office), wtedy organizacja-gospodarz musi mu przypisać odpowiednią licencję ze swojej puli.
Czym różni się guest access od shared channels w Teams?
| Cecha | Guest access | Shared channels |
|---|---|---|
| Konto w katalogu | Tworzone (UserType = Guest) | Nie jest tworzone |
| Zakres dostępu | Cały zespół (team) | Pojedynczy kanał |
| Udostępnianie plików | Przez SharePoint zespołu | Osobna witryna SharePoint dla kanału |
| Wymagane ustawienia | Entra ID + Groups + SharePoint + Teams | Cross-tenant access (B2B direct connect) |
| Obsługa gości spoza Entra ID | Tak (Gmail, Outlook) | Nie — wymaga Entra ID po obu stronach |
Jak ograniczyć zapraszanie gości tylko do wybranych osób w firmie?
W Entra ID → External collaboration settings → Guest invite restrictions wybierz Only users assigned to specific admin roles. Następnie przypisz rolę Guest Inviter wybranym pracownikom. Alternatywnie — jeśli chcesz dać większą kontrolę właścicielom grup — pozostaw ustawienie domyślne (Member users and users assigned to specific admin roles) i polegaj na blokowaniu domen przez collaboration restrictions.
Czy goście mogą resetować swoje hasło samodzielnie?
Goście z kontem Microsoft (Outlook, Hotmail) lub Google resetują hasło po stronie swojego dostawcy tożsamości — nie przez Twoją organizację. Goście z własnym Entra ID resetują hasło w swojej organizacji. Jeśli używasz email OTP — gość otrzymuje nowy kod za każdym razem, więc "reset" jest niepotrzebny. Samoobsługowy reset hasła organizacji-gospodarza (SSPR) nie dotyczy kont gościnnych.
Ilu gości mogę dodać do mojej organizacji?
Microsoft nie narzuca twardego limitu liczby gości — teoretycznie możesz dodać ich tyle, ile mieści się w limitach obiektów Entra ID (domyślnie do 50 000 obiektów w warstwie Free, limit podnoszony z licencjami Premium). Praktycznym ograniczeniem jest model rozliczeniowy MAU — powyżej 50 000 aktywnych gości miesięcznie naliczane są opłaty według cennika Microsoft Entra External ID. Jeden gość może należeć maksymalnie do 1000 grup Microsoft 365.
Co się stanie z danymi, gdy usunę gościa z organizacji?
Usunięcie gościa z Entra ID automatycznie odbiera mu dostęp do wszystkich zasobów organizacji. Pliki, które gość utworzył w SharePoint lub Teams, pozostają w organizacji — nie są usuwane. Gość znika z list członków zespołów i grup. Historia czatów i wiadomości gościa w Teams pozostaje widoczna (z oznaczeniem "Nieznany użytkownik"). Zaleca się wykonanie access review przed usunięciem, aby upewnić się, że nie ma niezbędnych plików czy danych przypisanych do gościa.
Potrzebujesz licencji Microsoft 365 dla swojej organizacji?
Pełna konfiguracja guest access, obejmująca Conditional Access dla gości, Identity Protection i automatyczne access reviews, wymaga subskrypcji Microsoft 365 Business Premium (dla firm do 300 użytkowników) lub Microsoft 365 E3/E5 (dla większych organizacji). Te plany zawierają licencję Microsoft Entra ID P1, która odblokowuje zaawansowane funkcje bezpieczeństwa dla użytkowników zewnętrznych.
→ Microsoft 365 Business Premium — sprawdź ofertę → Microsoft 365 E3 dla firm średnich i dużych